Wieder ein Artikel zur NIS2-Richtlinie – diesmal jedoch vollgepackt mit unseren positiven und negativen Erfahrungen aus der Umsetzung in verschiedenen Branchen – vom Handelskonzern bis zu Betreibern kritischer Infrastrukturen. Also Praxis pur, fernab von der häufig formulierten Theorie.
Wir schreiben aus unseren beiden, recht unterschiedlichen Perspektiven. Der des Juristen und der des strategischen Sicherheitsberaters. Warum? Weil es unseren Mandanten in den letzten Jahren geholfen hat, aus dem Diskutieren über NIS2 (Richtlinie zur Sicherung von Netz- und Informationssystemen) ins Handeln zu kommen.
Um beide relevanten Perspektiven in den Blick zu nehmen, kombinieren wir unsere juristischen und strategischen Erfahrungen. Daraus ergeben sich die folgenden elf Dos und Don’ts der NIS2-Umsetzung, die Ihnen bei der Umsetzung als kleine Leuchtfeuer den Weg weisen können.
Do: Betroffenheit (konzernweit) feststellen
Am Anfang jedes NIS2-Projekts muss eine vollständige, rechtssichere und (zum aktuellen Zeitpunkt) abschließende Betroffenheitsanalyse stehen – nur so lässt sich der Scope des Projekts definieren.
Die Prüfung der NIS2-Betroffenheit erfolgt in drei Schritten:
- Bestimmung der relevanten Einrichtungsarten (= welche NIS2-relevanten Tätigkeiten werden ausgeübt?) – vernachlässigbare Tätigkeiten bleiben unberücksichtigt.
- Bei den meisten Einrichtungsarten: Bestimmung der Mitarbeiterzahl, des Jahresumsatzes und der Jahresbilanzsumme.
- Sofern Partner- oder verbundene Unternehmen vorhanden sind: Zurechnung von Schwellenwerten. Dies gilt nicht, wenn keine zusammenhängende IT besteht.
Ergebnis ist die Einordnung als wichtige oder besonders wichtige Einrichtung sowie gegebenenfalls als Betreiber einer kritischen Anlage. Zudem wird festgestellt, ob das Unternehmen in den Anwendungsbereich des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSIG) oder des Energiewirtschaftsgesetzes (EnWG), zum Beispiel als Betreiber einer Energieversorgungsanlage, fällt.
Voraussetzung für die Prüfung ist eine gute Sachverhaltsbasis: Nur so lassen sich die Anlagen der NIS2-Richtlinie mit den teils komplizierten Verweisen mit der erforderlichen Sicherheit bewerten.
Wenn der Konzern Gesellschaften in weiteren Mitgliedstaaten der EU hat, müssen die jeweiligen nationalen Umsetzungen berücksichtigt werden – diese können Unterschiede zu der deutschen Umsetzung aufweisen.
Do: NIS2-Umsetzungsprojekt richtig aufsetzen
Ist ein Unternehmen von der NIS2-Regulation direkt oder indirekt betroffen, muss bei der Entwicklung eines Umsetzungsprojekts zunächst mit einem Mythos aufgeräumt werden: nämlich mit der Auffassung, dass Sicherheit die Aufgabe der IT ist. NIS2 ist kein „Security-Tooling“-Programm, sondern ein Managementthema mit Haftungs- und Reputationsdimension. Mindestens 70% der zu behandelnden Punkte sind nach der Praxiserfahrung organisatorischer Natur, also nicht-technisch. Die IT ist ein wichtiger Stakeholder – aber einer von vielen am Tisch, neben der Geschäftsführung, Legal, HR und weiteren.
Wer das Umsetzungsprojekt richtig aufsetzt, macht aus NIS2-Compliance dabei einen Steuerungshebel: klare Verantwortlichkeiten, klare Entscheidungswege (Prozesse), klare Prioritäten. Aus strategischer Sicht ist entscheidend, dass Geschäftsführung und Bereichsleitungen den Takt vorgeben – inklusive Budget, Risikoappetit und Zielbild. Erst wenn das oben entschieden ist, ergibt „Technik“ unten überhaupt einen Sinn.
Don’t: NIS2 als Projekt mit Enddatum behandeln
Die NIS2-Richtlinie ist ein Dauerregime, kein einmaliges Zertifizierungsprojekt. Wenn die Umsetzung als befristetes Vorhaben ohne Verstetigung von Rollen, Budgets, Lessons Learned nach Vorfällen, PDCA-Zyklen (Plan-Do-Check-Act) und Lieferantenaudits betrachtet wird, erodiert die Compliance. Warnsignale: veraltete Risikoanalysen, überholte Notfallkonzepte, lückenhafte Schulungsnachweise.
Don’t: Auf Detailverordnungen warten
Ein verbreitetes Don’t besteht darin, operative Schritte zu vertagen, bis alle Durchführungsrechtsakte und nationalen Verordnungen vorliegen. Die Richtlinie enthält bereits heute unmittelbar auslegungsfähige Kernpflichten zu Risikomanagement, Meldungen, Governance und Lieferketten. Wer abwartet, gerät in Rückstand und riskiert Bußgelder, sobald nationale Aufsichtsrahmen greifen.
Do: Mitbestimmung und Datenschutz sauber berücksichtigen
Die Einführung oder Erweiterung eines Informationssicherheitsmanagementsystems (ISMS), der Aufbau eines Security Operations Center (SOC) sowie neue Monitoringmechanismen berühren regelmäßig Mitbestimmungsrechte und das Datenschutzrecht. Der Betriebsrat und der Datenschutzbeauftragte sollten daher in die praktische Umsetzung der geplanten Risikomanagementmaßnahmen frühzeitig eingebunden werden.
Wichtig bei der Umsetzung sind eine strikte Zweckbindung der Sicherheitsdaten, die Trennung von sicherheitsbezogener Nutzungsauswertung und Leistungs- oder Verhaltenskontrolle sowie ein belastbares Berechtigungskonzept und regelmäßige Reviews.
Do: Versicherungs- und Haftungsmanagement anpassen
Cyberversicherungen und D&O-Deckungen sollten mit den (neuen) NIS2-Pflichten abgeglichen werden. Wichtig sind zudem klare Definitionen von meldepflichtigen Vorfällen, abgestimmte Benachrichtigungsfristen, die Kompatibilität mit 24/72/30-Meldefristen (siehe dazu unten) und die Zusage von Incident-Response-Ressourcen, die rechtzeitig und koordinierbar abgerufen werden können.
Don’t: Organisation mit der Umsetzung überfordern
Ein NIS2-Umsetzungsprojekt lässt sich nicht erfolgreich „on top“ zu dem Tagesbetrieb behandeln. Es braucht oft dedizierte Ressourcen mit klaren Rollen, Entscheidungskompetenzen und Zeitbudgets – und in den meisten Fällen zusätzlich externe Expertise, um Geschwindigkeit, Struktur und Nachweisfähigkeit sicherzustellen. Bei kaum einem Unternehmen im NIS2-Anwendungsbereich kommt man ohne gezielte Verstärkung aus: typischerweise auf Basis einer Kompetenz- und Reifegradanalyse, die fehlende Fähigkeiten sichtbar macht und anschließend über klar definierte Rollenprofile in den Teams ergänzt wird. Das gilt besonders für die Informationssicherheitsteams (CISO-Office) sowie die umsetzenden Teams in der IT und OT (Produktions-IT und Steuerungsanlagen). Wer stattdessen die bestehenden Mitarbeitenden überlastet, bekommt weder robuste Security noch belastbare Compliance – sondern Reibungsverluste, Qualitätsmängel und im schlimmsten Fall Burn-out in Schlüsselrollen.
Do: Kunden- und Lieferantenverträge NIS2-fest machen
NIS2-Pflichten entfalten Wirkung entlang der gesamten Wertschöpfungskette. Vertragswerke mit Kunden sollten Informationspflichten, Supportlevel bei Sicherheitsvorfällen und Kooperationspflichten im Meldeprozess klar regeln, um Haftungsrisiken und Friktionsverluste zu minimieren. In der Lieferkette sind insbesondere Audit- und Informationsrechte, Mindestmaßnahmen, Melde-SLAs (Service-Level-Agreements) nach 24/72/30 sowie Back-to-Back-Pflichten zu verankern.
Do: Meldeprozesse nach 24/72/30 verankern und mit DSGVO/DORA harmonisieren
Die Meldepflichten folgen einem dreistufigen Modell. Binnen 24 Stunden nach Kenntnis eines erheblichen Sicherheitsvorfalls ist eine Frühwarnung an die zuständige nationale Stelle zu übermitteln. Innerhalb von 72 Stunden folgt eine qualifizierte Meldung mit Ursachenhypothesen, Auswirkungsbewertung und eingeleiteten Maßnahmen. Innerhalb eines Monats ist ein Abschlussbericht fällig, der Ursachenanalyse, Abhilfeschritte und Lessons Learned zusammenführt.
Diese Taktung verlangt ein geübtes Zusammenspiel von Recht, Technik, Krisenkommunikation, Geschäftsleitung und dem Datenschutzbeauftragten. Zudem ist eine Verzahnung mit dem Meldeprozess für Datenschutzverletzungen (nach Art. 33 Datenschutz-Grundverordnung [DSGVO]) sinnvoll.
Do: Nachweisbarkeit systematisch sichern
Alle wesentlichen NIS2-Entscheidungen und -Maßnahmen müssen so dokumentiert sein, dass Angemessenheit und Wirksamkeit rechtlich überprüfbar sind. Maßstab ist die Vorlagefähigkeit im Aufsichts-, Haftungs- oder Streitfall. Eine geeignete Traceability verknüpft die jeweilige Normanforderung mit der gewählten Kontrolle, den Prüfergebnissen und dem Management-Review. Widerspruchsfreiheit über alle Dokumente hinweg ist zwingend.
Die Organverantwortung muss sichtbar sein: protokollierte Beschlüsse zu Prioritäten und Budgets, formale Maßnahmenfreigaben, Berichtszyklen an die Leitung. Schulungsnachweise der Organmitglieder gehören in dieselbe Akte; sie belegen die Erfüllung der Leitungspflichten. Für Vorfälle sind chronologisch geschlossene Vorfallakten zu führen – diese sollten auch den Datenschutz und weitere einschlägige Regulierungen berücksichtigen.
Kurz: Nachweisbarkeit gelingt, wenn Anforderungen, Entscheidungen, Maßnahmen und Ergebnisse in einer kohärenten, konsistenten Beweiskette zusammengeführt werden, die im Audit wie im Verfahren trägt.
Do: NIS2 als Erfolgsfaktor nutzen
Der Weg zur NIS2-Compliance ist mehr als Pflichterfüllung – richtig aufgesetzt, wird er zum strategischen Erfolgsfaktor. Wer die regulatorischen Anforderungen nutzt, um sichere Produktion, robuste Lieferketten und vertrauenswürdige Datenverarbeitung systematisch zu etablieren, stärkt nicht nur die eigene Resilienz, sondern auch die Marktposition. Denn „nachweisbar sicher“ wird zunehmend zu einem harten Differenzierungsmerkmal: in Ausschreibungen, in Partnerschaften mit kritischen Kunden, bei Versicherern – und im Vertrauen von Mitarbeitenden und Stakeholdern. Die NIS2-Richtlinie zwingt Unternehmen, Verantwortlichkeiten, Prozesse und Kontrollen zu professionalisieren; genau darin liegt die Chance, Effizienzverluste durch Sicherheitsvorfälle zu reduzieren und die eigene Verlässlichkeit messbar zu machen. So wird Compliance vom Kostenblock zur Investition in Wettbewerbsfähigkeit – mit dem klaren Signal: Wir können sicher liefern, sicher produzieren und sicher mit Daten umgehen.
Fazit: NIS2 kann Ihr Unternehmen stärker machen
Die NIS2-Richtlinie ist kein lästiges Pflichtenheft, das man „abarbeitet“, sondern sie kann – richtig aufgesetzt – zum echten strategischen Hebel werden: für resiliente Lieferfähigkeit, sichere Produktion und vertrauenswürdige Datenverarbeitung als ein messbarer Wettbewerbsvorteil. Entscheidend ist, dass die NIS2-Richtlinie als Managementthema mit klarer Steuerung, Verantwortlichkeiten und Prioritäten behandelt wird.
Gleichzeitig gilt aus der Praxis: Die Umsetzung scheitert selten am „Wollen“, sondern an fehlender Kapazität und fehlender Routine in den kritischen Disziplinen. Ein Umsetzungsprojekt lässt sich nicht erfolgreich „on top“ zum Tagesgeschäft fahren; es braucht dedizierte Ressourcen – und mindestens punktuell externe Unterstützung, in vielen Fällen auch fortlaufend, um Tempo, Struktur und Nachweisfähigkeit sicherzustellen und typische Fehler zu vermeiden.
Besonders wirksam ist dabei die Begleitung durch ein Tandem aus Jurist und Security-Stratege: Während die juristische Perspektive Pflichten, Haftungsrisiken und Nachweislogik präzise einordnet, übersetzt die Sicherheitsberatung diese Anforderungen in wirksame, umsetzbare Maßnahmen mit messbarer Risikoreduktion. Das erleichtert das Setzen klarer Prioritäten, verhindert „Compliancetheater“ und sorgt dafür, dass Budgets dort wirken, wo sie Resilienz und Compliance gleichzeitig stärken. Wer die Organisation stattdessen überlädt, riskiert Reibungsverluste, Qualitätsmängel und im schlimmsten Fall das Ausbrennen von Schlüsselrollen. Und weil die NIS2-Richtlinie ein Dauerregime ist, zahlt sich diese Kombination doppelt aus: Sie beschleunigt nicht nur das Projekt, sondern baut die Fähigkeiten auf, die Compliance und Sicherheit langfristig tragen.
